CAF : les données de 10 000 allocataires diffusées en ligne

Un prestataire a divulgué par erreur des informations sur les allocataires de la CAF de Gironde. Cette dernière a ouvert une enquête.

CAF : les données de 10 000 allocataires diffusées en ligne – Source : Istock

Un prestataire a reçu des informations sur des allocataires de la CAF de Gironde. Ensuite, il les a publiées sur internet en pensant qu’elles étaient fausses. La Caisse d’allocations familiales de Gironde a ouvert une enquête.

La grosse bourde d’un prestataire de la CAF

Les données personnelles de plus de 10 000 allocataires de la Caisse d’allocations familiales (CAF) étaient, durant un an et demi, libres d’accès sur internet. C’est la cellule investigation de Radio France qui a révélé cette fuite.

Cette dernière n’est toutefois pas l’œuvre d’un groupe de cybercriminels, mais d’un simple prestataire de la CAF. C’est au mois de mars 2021 que remonte la mise en ligne des informations sensibles. C’était dans le cadre d’une formation d’agents de la CAF. La CAF de Gironde a fourni un fichier qui regroupe des informations sur 10 204 personnes.

Ils étaient tous des bénéficiaires des allocations de l’organisme. C’était pour apprendre un langage de programmation dans le domaine des statistiques. Ensuite, le prestataire en charge de la formation les met en ligne. Cependant, ce n’était pas de fausses informations. L’ensemble de ces données personnelles sont réelles.

Le fichier était encore accessible le 1er janvier

Dans le cadre des exercices pratiques qui accompagnent la formation des agents, il fallait ce lot de données. Le prestataire, basé en région parisienne, qui a publié ces informations s’est défendu auprès de Radio France.

Il a dit :

« Quand la CAF m’a communiqué ces données, je pensais qu’elles étaient fictives ».

D’ailleurs, il a laissé entendre que pour assurer sa formation, il n’avait aucun besoin de données réelles. Juste des données réalistes. Le fichier en question était encore accessible le 1er janvier, mais depuis il s’est fait retirer du site du prestataire. Ainsi, les noms et prénoms se sont fait retirer du lot de données.

Cependant, La Quadrature du Net déplore que ces données ne se soient pas fait anonymiser pour autant. Il semblerait que les adresses et les dates de naissance soient toujours des informations directement identifiantes. C’est ce qu’indique l’association de défense des libertés fondamentales dans l’environnement numérique.

181 données précises sur chaque allocataire

La cellule investigation de Radio France a pu facilement contacter des allocataires de la CAF. Ceux dont les données personnelles étaient disponibles en ligne. Ainsi, elle a pu retrouver l’identité des personnes en saisissant leur adresse dans un annuaire inversé.

D’après La Quadrature du Net, un site comme celui des pages jaunes peut suffire à l’opération. Le fichier libre d’accès comportait en tout 181 données précises sur chacun des allocataires. Pour tous, des informations telles que nationalité, adresse, date de naissance et sexe s’affichaient.

Des informations sur les logements, les situations personnelles, médicales, professionnelles et familiales s’ajoutaient à cela. L’activité des conjoints, tout comme la date de naissance des enfants des bénéficiaires, était mentionnée. Il y avait en plus les montants détaillés des allocations perçues.

La CAF n’avait pas le droit de communiquer ces données

Radio France a interrogé Alexandra Iteanu à ce sujet. Cette dernière est une avocate spécialisée dans la protection des données. Selon elle, la CAF n’avait pas « le droit de communiquer ces données » sans avoir informé à l’avance les personnes concernées et obtenu leur consentement.

Pour les allocataires concernés par cette fuite de données, « le risque le plus grand est l’usurpation d’identité ». C’est ce qu’a expliqué à Franceinfo Bastien Le Querrec qui est juriste pour l’association La Quadrature du Net.

Selon le juriste :

« Il peut y avoir aussi du ciblage malveillant. Par exemple, on reçoit un message qui dit “Faites telle démarche pour votre enfant”, et on se connecte sur une plateforme frauduleuse. »

Quant à la CAF, sollicitée par Radio France, elle affirme que « ces données n’auraient jamais dû être mises en ligne par le prestataire ». Elle souligne que le document en question avait un usage « strictement interne ».

La Caisse d’allocations familiales de Gironde a de son côté ouvert une enquête. Elle cherche à « comprendre comment cette situation a pu se produire et mettre en place un système de suivi plus resserré ». Puis elle va informer les 10 204 allocataires dont les données se sont fait divulguer.

CAF : la protection des données, un problème de taille

Ces dernières années, plusieurs institutions ont été victimes de vols de données personnelles. Le plus souvent, il s’agit d’un piratage ou d’une cyberattaque. Ces vols concernent notamment des institutions liées au monde de la santé, mais pas que.

Les données médicales de près de 500 000 clients de laboratoires d’analyse médicale du nord-ouest de la France avaient, en février 2021, fuité. Parmi ces données médicales, on comptait celles de 3 000 habitants de Lamotte-Beuvron, en Loir-et-Cher. Il s’agissait d’un piratage.

Les données personnelles de patients dans l’Essonne s’étaient aussi fait divulguer sur le darkweb en septembre 2022. Celles du personnel d’un hôpital de Corbeil-Essonnes en faisaient également partie. L’hôpital, victime d’une cyberattaque, avait refusé de payer une rançon.

Source : BFMTV